党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,在“十四五”规划和2035年远景目标纲要对提高数字政府建设水平作出战略部署,提出新的更高要求的背景下,信息系统审计作为对政府投资的信息化建设项目的一种审计形式,能有效发挥预防、揭示和抵御信息系统风险,保护国家信息安全,推动实现信息系统的有效治理的重要作用。新修订的审计法特别强调:“审计机关有权检查被审计单位信息系统的安全性、可靠性、经济性”,为信息系统审计监督工作提供了强有力的法治保障和方向指引,本文结合工作实践,探讨信息系统审计中发现的问题、存在的困难及一些思考。
一、信息系统建设审计评价和问题分析
(一)统筹协调不到位
当前,很多信息化项目为全省、全系统统筹建设,涉及相关二级预算单位或者垂管单位,需要牵头部门进行统一指导,统筹调度。但审计发现,牵头单位未发挥领导作用,“各自为政”现象仍较为突出,各建设成员单位仅考虑满足本单位信息化建设需求,建设内容和建设进度未同其他单位有效衔接,导致存在项目整体工程进度缓慢、重复建设、系统之间未有效联通等情况。如某单位虽然每年制定工作要点,对建设成员单位制定年度建设目标,但流于形式,未有效督促落实,导致项目普遍存在工程进度缓慢的现象。
(二)项目监管力度不强
建设单位受限于人力、物力和时间因素,且信息系统建设项目往往要求业主方具有一定专业技术背景,因此建设单位普遍存在畏难情绪,想当“甩手掌柜”,把项目管理全权委托给项目监理单位。而审计中发现,项目中标单位违规分包、实际施工人员资质不达标等问题突出,项目监理流于形式,甚至监理公司本身存在擅自变更总监理工程师、对现场实施管理控制不到位、出具不实评估报告等问题。建设单位未有效监管,同时缺乏有效措施对项目实施单位的违规行为进行惩处。
(三)资金管理存在短板
部分项目审计发现资金执行过程中存在审核不严、协议执行不严格等问题。如擅自提高首付款比例,合同设置的付款条件不合理,支付进度明显快于工程建设进度,超批复挤占挪用信息化建设专项资金用于购置其他设备,项目建设结余资金违规转入实拨资金账户等,需要在审计中关注项目资金支付的规范性,有效防范廉政风险,保障项目顺利实施。
(四)资产管理存在疏漏
审计发现,有的单位在项目建设中软件开发进度和设备采购未有效衔接,提前采购软硬件设备,导致设备闲置、挪作他用,造成国有资产损失;有的单位项目建设中采购的软件未及时纳入固定资产管理,账实不符。如某单位安全运维支撑体系项目应当在主体工程项目建成后开始实施,属于收尾阶段建设内容,但该单位在主体工程尚未完成、部分建设内容还未招标的情况下,提前启动安全运维支撑体系项目建设,审计时项目工程停滞,提前采购的硬件设备闲置长达1年,由于信息类设备更新换代频率较快,因此面临上线即淘汰的风险。
(五)未有效落实网络信息安全责任制
部分单位网络信息安全责任缺位;有的单位对于建设完成已正式上线运行的信息系统未及时进行信息安全等级保护定级备案;有的单位未制定网络安全事件应急预案、开展网络安全应急相关演练,网络安全工作责任制流于形式。
二、当前信息系统审计存在的一些困难
(一)缺乏相应的审计经验
信息系统审计作为一项全新的审计形式,开展次数少,各审计单位间横向的技术交流不多,经验积累不够。同时,信息系统审计需要审计人员既要懂技术也要知晓审计业务,能达到满足条件的审计人员极少。
(二)面临一定的技术风险
如对被审单位已建成的信息系统的数据输入、输出、处理控制进行检测,验证系统各项功能是否正常、有效,可能存在影响被审单位信息系统正常运转的技术风险;取证易被篡改、软件代码层面技术评价无权威标准也是需要面对的问题。
(三)缺少统一的价格评判标准
建设工程可按相关的依据和规定核算建造费用,但在信息系统建设和设备采购中,一些系统软件、专用设备具备特定知识产权,往往没有统一的价格评定标准。此外,信息系统软硬件在不同区域往往有不同的价格政策,而且价格随时间波动较大。因此,对于信息系统建设项目的合同报价的合理性很难做出科学评价。
三、加强信息系统审计的几点思考
(一)更加充分利用资源,实现提质增效
信息系统审计包括信息系统项目管理审计、一般控制审计和应用控制审计,其中信息系统项目管理审计是信息系统审计中一项重要内容,对信息系统的立项规划、项目招标、项目实施、设备购置、项目验收和绩效以及预算管理、财务管理等关键环节进行审查,同投资审计和部门预算审计等常规审计有共通性,可采用“投资+预算执行+信息系统审计”的融合方式开展,充分调动现有相关领域审计资源,辅以计算机背景审计人员,必要时借助第三方资源。同时在在审计实践中,不断摸索规律,总结积累经验,为后续相关项目的开展打好基础。
(二)更加精确找到切入点,实现有的放矢
对于信息系统应用控制审计,如果关注点仅局限于信息系统软件代码本身,就系统论系统,则很多问题难以确定。因此,应更加关注建设内容是否实现了建设单位的顶层设计,是否推动管理水平提升。通过调取系统用户注册情况、用户登录使用日志等有效数据,与被审单位相关业务结合起来,对平台有无未有效使用、监管作用未有效发挥等问题形成审计评价。如当前各地都在深化“放管服”改革,着力优化营商环境,其中的一个重要举措就是建设各类电子政务平台、综合数据中心,让“让数据多跑路,让群众少跑腿”。但审计中通过调取平台数据字典、数据库日志信息发现,由于平台中数据未实现真正共享,系统基础信息积累有限,系统整体功能并未真正发挥,群众仍需要在不同单位办理业务,“提升群众的获得感、幸福感和满意度”的建设目标并未完全实现。
(三)更加突出对比核验,实现事半功倍
很多信息系统并不是孤立的,而是一定区域内或者系统范围内的一套信息系统的集合,如应急指挥系统,除了要在主节点建设系统平台,还需要在各个分支节点上布置相应硬软件设备,方能实现协同调度。对于此类系统,可以通过纵横对比有效解决缺少价格标准问题,通过同一时间段内,对不同建设单位的横向对比,或通过同一单位,在不同时间段内纵向对比,发现采购合同中对于同型号、同配置软硬件设备的价格差异。同时也可借鉴投资大数据审计模式,加强信息系统相关软硬件产品报价等历史数据的积累,作为数据对比的基础。
(作者系审计署2021年度第二期计算机中级培训班学员、湖北省审计厅干部)
转自:审计观察